Power BI 實作規劃:內容建立者安全性規劃
注意
本文是 Power BI 實作規劃系列文章的其中一篇。 此系列主要著重於 Microsoft Fabric 中的 Power BI 體驗。 如需有關此系列的簡介,請參閱 Power BI 實作規劃。
此安全性規劃文章說明負責建立語意模型 (先前稱為資料集)、資料流程、資料超市、報表或儀表板的內容建立者的策略。 本文的主要目標讀者為:
- Power BI 管理員:負責監督組織中 Power BI 的管理員。
- 卓越中心、IT 和 BI 團隊:同時負責監督 Power BI 的團隊。 他們可能需要與 Power BI 管理員、資訊安全小組和其他相關小組共同作業。
- 內容建立者和擁有者:需要建立、發佈、保護及管理其他人取用的內容的自助 BI 建立者。
此系列文章旨在擴充 Power BI 安全性白皮書中的內容。 雖然 Power BI 安全性白皮書著重於驗證、資料落地和網路隔離等重要技術主題,但系列的主要目標是為您提供考量和決策,以協助您規劃安全性和隱私權。
在組織中,許多使用者都是內容建立者。 內容建立者會製作並發佈可供他人檢視的內容。 內容建立者是本文的重點。
提示
建議您先檢閱報表取用者安全性規劃一文。 它描述了向唯讀取用者安全地提供內容的策略,包括如何強制執行資料安全性。
內容建立者的策略
妥善治理的自助 BI 系統的基礎從內容建立者和擁有者開始。 他們會建立及驗證語意模型和報表。 在許多情況下,內容建立者也會設定權限來管理其內容的安全性。
提示
我們建議您培養一種資料文化,使資料安全性和保護成為每個人職責的正常組成部分。 為了實現該目標,使用者教育、支援和訓練至關重要。
基於安全性和權限的目的,請細想有兩種類型的內容建立者:資料建立者和報表建立者。 他們可以負責建立和管理企業 BI 或自助 BI 內容。
資料建立者
資料建立者是任何建立語意模型、資料流程或資料超市的 Power BI 使用者。
以下是一些常見的資料建立者案例。
- 建立新的語意模型:在 Power BI Desktop 中建立及測試新的資料模型。 然後,它會發佈至 Power BI 服務,以便將其作為許多報表的共用語意模型。 如需重複使用共用語意模型的詳細資訊,請參閱受控自助 BI 使用案例。
- 擴充和自訂語意模型:在 Power BI Desktop 中建立與現有共用語意模型的即時連線。 將即時連線轉換為本機模型,這允許以新的資料表或資料行擴充模型設計。 如需擴充和自訂共用語意模型的詳細資訊,請參閱可自訂的受控自助 BI 使用案例。
- 建立新的資料流程:在 Power BI 服務中,建立新的資料流程,以便許多語意模型可以將其用作來源。 如需重複使用資料準備活動的詳細資訊,請參閱自助資料準備使用案例。
- 建立新的資料超市。 在 Power BI 服務中,建立新的資料超市。
資料建立者通常出現在企業 BI 團隊和卓越中心 (COE) 中。 他們也在維護和管理自己資料的分散業務單位和部門中扮演關鍵的角色。
有關業務主導的 BI、受控自助 BI 和企業 BI 的其他考量事項,請參閱內容擁有權和管理一文。
報表建立者
報表建立者會建立報表和儀表板來視覺化源自現有語意模型的資料。
以下是一些常見的報表建立者案例。
- 建立包含資料模型的新報表:在 Power BI Desktop 中建立並測試新的報表和資料模型。 包含一或多個報表頁面且包含資料模型的 Power BI Desktop 檔案會發佈到 Power BI 服務。 新的內容建立者通常在意識到使用共用語意模型之前會使用此方法。 它也適用於不需要重複使用資料的狹窄使用案例。
- 建立即時連線報表:建立新的 Power BI 報表,以連線到 Power BI 服務中的共用語意模型。 如需重複使用共用語意模型的詳細資訊,請參閱受控自助 BI 使用案例。
- 建立連線的 Excel 活頁簿:建立新的 Excel 報表,以連線到 Power BI 服務中的共用語意模型。 強烈建議使用連線的 Excel 體驗,而不是下載資料。
- 建立 DirectQuery 報表:建立新的 Power BI 報表,以 DirectQuery 模式連線到受支援的資料來源。 此方法有用的一種情況是,當您想要利用來源系統所實作的使用者安全性時。
報表建立者遍布組織中的每個業務單位。 組織中的報表建立者通常比資料建立者多得多。
提示
雖然並非每個語意模型都是共用語意模型,但仍值得採用受控自助 BI 策略。 此策略會盡可能重複使用共用語意模型。 這樣,報表建立和資料建立就可以分離。 任何業務單位的任何內容建立者都可以有效地使用此策略。
建立者的權限
本節說明資料建立者和報表建立者最常見的權限。
本節並不打算列出所有可能包含的權限。 而是想要協助您規劃支援不同類型的內容建立者的策略。 您的目標應該是遵循最低權限原則。 此原則可讓使用者獲得足夠的權限來提高工作效率,而無需過度佈建權限。
建立新內容
建立新內容通常需要以下權限。
| 權限 | 報表建立者 | 語意模型建立者 | 資料流程建立者 | 資料超市建立者 |
|---|---|---|---|---|
| 存取基礎資料來源 | 
|
|
|
|
| 語意模型讀取和建置權限 |
|
|||
| 資料流程讀取權限 (當資料流程作為來源時,透過工作區檢視者角色) |
|
|
|
|
| 存取原始 Power BI Desktop 檔案的儲存位置 |
|
|
||
| 使用自訂視覺效果的權限 |
|
發佈內容權限
發佈內容通常需要以下權限。
| 權限 | 報表建立者 | 語意模型建立者 | 資料流程建立者 | 資料超市建立者 |
|---|---|---|---|---|
| 工作區角色:參與者、成員或系統管理員 |
|
|
|
|
| 語意模型寫入權限 (當使用者不屬於工作區角色時) |
|
|||
| 發佈項目的部署管線角色 (選擇性) |
|
|
|
|
重新整理資料
重新整理資料通常需要以下權限。
| 權限 | 報表建立者 | 語意模型建立者 | 資料流程建立者 | 資料超市建立者 |
|---|---|---|---|---|
| 已指派的擁有者 (已設定設定或接管項目的人) |
|
|
|
|
| 存取基礎資料來源 (未使用閘道時) |
|
|
|
|
| 存取閘道中的資料來源 (當來源位於內部或虛擬網路中時) |
|
|
|
本文的其餘部分說明了內容建立者權限的考量事項。
提示
如需與檢視內容的相關權限,請參閱報表取用者安全性規劃一文。
檢查清單 - 在為內容建立者規劃安全性策略時,關鍵決策和動作包括:
- 確定您的資料建立者是誰:確定您熟悉誰正在建立語意模型、資料流程和資料超市。 在開始安全性規劃活動之前,請確認您了解他們的需求。
- 確定您的報表建立者是誰:確定您熟悉誰正在建立報表、儀表板、活頁簿和計分卡。 在開始安全性規劃活動之前,請確認您了解他們的需求。
為建立者探索內容
使用者可以依賴資料探索來尋找語意模型和資料超市。 資料探索是 Power BI 的功能,可讓內容建立者尋找現有的資料資產 (即使他們沒有該內容的任何權限也可以)。
探索現有的資料有助於:
- 想要將現有語意模型用於新報表的報表建立者。
- 想要從現有資料超市中查詢資料的報表建立者。
- 想要將現有語意模型用於新的複合模型的語意模型建立者。
注意
Power BI 中的資料探索不是資料安全性權限。 這是一項設定,可讓報表建立者讀取中繼資料,協助他們探索資料並要求對它進行存取。
當語意模型或資料超市經過認可 (認證或升級) 後,您可以將其設定為可探索的。 當它成為可探索的時,內容建立者可以在資料中樞中找到它。
內容建立者也可以要求對語意模型或資料超市進行存取。 基本上,存取要求需要建置權限,這是根據它建立新內容所必需的。 回應存取要求時,請考慮使用群組而非個別使用者。 有關如何針對此目的使用群組的詳細資訊,請參閱取用者的要求存取工作流程。
請細想以下三個範例。
- 銷售摘要語意模型已通過認證。 它是銷售追蹤值得信賴和權威性的來源。 整個組織的許多自助報表建立者都會使用此語意模型。 因此,有很多基於語意模型的現有報表和複合模型。 為了鼓勵其他建立者尋找和使用語意模型,它會被設定為可探索的。
- 庫存統計語意模型已通過認證。 它是庫存分析值得信賴和權威性的來源。 該語意模型和相關的報表由企業 BI 團隊維護和散發。 由於該語意模型的設計複雜,因此僅允許企業 BI 團隊建立和維護庫存內容。 由於目標是要阻止報表建立者使用該語意模型,因此它不會被設定為可探索的。
- 執行紅利語意模型包含高度機密性的資訊。 檢視或更新此語意模型的權限僅限於少數的使用者擁有。 此語意模型不會被設定為可探索的。
下列螢幕擷取畫面顯示了 Power BI 服務中資料中樞的語意模型。 具體來說,它顯示了可探索語意模型的要求存取訊息的範例。 當使用者目前無權存取時,會顯示此訊息。 要求存取訊息已在語意模型設定中進行了自訂。
要求存取訊息內容如下:對於 MTD/QTD/YTD 的標準銷售報告,此語意模型是權威性且是經過認證的來源。請填寫位於 https://COE.contoso.com/RequestAccess 的表單來要求存取語意模型。系統會要求您提供簡短的業務理由,而卓越中心的經理也需要核准該要求。每六個月會審核一次存取權。
注意
您的資料文化和您對資料民主化的立場應該會強烈影響您是否啟用資料探索。 如需資料探索的詳細資訊,請參閱可自訂的受控自助 BI 使用案例。
有三個與探索相關的租用戶設定。
- 探索內容租用戶設定可讓 Power BI 管理員設定允許哪些使用者群組可以探索資料。 它主要是針對建立報表時可能需要找到現有語意模型的報表建立者。 它對於語意模型建立者也很有用,這些語意模型建立者可能會尋找可在其複合模型開發中使用的現有資料。 雖然可以針對特定的安全性群組來設定它,但最好為整個組織啟用該設定。 個別語意模型和資料流程上的探索設定將控制可探索的內容。 不太常見的是,您可能會考慮將此功能僅限於已核准的內容建立者使用。
- 將經認證的內容設定為可探索租用戶設定可讓 Power BI 管理員設定哪些群組可以將內容設定為可探索 (當他們也擁有編輯項目的權限以及認證內容的權限時,該權限由認證租用戶設定所授與)。 認證內容的能力應受到嚴格控制。 在大部分的情況下,應允許有權認證內容的相同使用者將其設定為可探索。 在某些情況下,您可能希望將此功能僅限於已核准的資料建立者使用。
- 將已升級的內容設定為可探索租用戶設定可讓 Power BI 管理員設定哪些群組可以將內容設定為可探索 (當他們也有編輯資料的權限時)。 由於升級內容的能力開放給所有內容建立者,因此在大部分情況下,所有使用者都應該可以使用此功能。 不太常見的是,您可能會考慮將此功能僅限於已核准的內容建立者使用。
檢查清單 - 為內容建立者規劃資料探索時,關鍵決策與動作包括:
- 釐清資料探索的需求:考慮您的組織在鼓勵內容建立者尋找現有語意模型和資料超市的立場。 在適當的時候,建立有關應如何使用資料探索的治理原則。
- 決定誰可以探索內容:決定是否允許任何 Power BI 使用者都可以探索內容,或探索是否應僅限於特定的使用者群組 (例如,已核准的內容建立者群組) 使用。 設定探索內容租用戶設定以符合此決策。
- 決定誰可以將已認證的內容設定為可探索:決定任何 Power BI 使用者 (擁有編輯語意模型或資料超市的權限,以及對其進行認證的權限) 是否都可以將其設定為可探索。 設定將經認證的內容設定為可探索租用戶設定以符合此決策。
- 決定誰可以將升級內容設定為可探索:決定任何 Power BI 使用者 (擁有編輯語意模型或資料超市的權限) 是否都可以將其設定為可探索。 設定將已升級的內容設定為可探索租用戶設定以符合此決策。
- 納入適用於語意模型建立者的文件和訓練:包含適用於語意模型建立者的指導,說明何時適合對他們所擁有和管理的語意模型和資料超市使用資料探索。
- 納入適用於報表建立者的文件和訓練:包含適用於內容建立者的指導,說明資料探索如何運作以及他們可以期待的內容。
為建立者要求存取工作流程
使用者可以透過兩種方式來要求存取內容。
- 對於內容取用者:使用者會收到 Power BI 服務中現有報表或應用程式的連結。 若要檢視項目,取用者可以選取 [要求存取] 按鈕。 如需詳細資訊,請參閱報告取用者安全性規劃一文 (部分機器翻譯)。
- 對於內容建立者:使用者在資料中樞探索語意模型或資料超市。 若要根據現有的資料建立新的報表或複合模型,內容建立者可以選取 [要求存取] 按鈕。 這種經驗是本節的重點。
根據預設,存取語意模型或資料超市的要求會傳給擁有者。 擁有者是最後排定進行資料重新整理或輸入認證的使用者。 對於團隊語意模型來說,依賴一名使用者來處理存取要求可能是可以接受的。 不過,這可能不實用或不可靠。
您可以定義在使用者要求存取語意模型或資料超市時向他們顯示的自訂指示,而不是依賴一位擁有者。 自訂指示在以下情況下很有用:
- 語意模型設定為可探索。
- 存取要求的核准將由資料擁有者以外的其他人來完成。
- 已有一個現有的流程需要遵循才能處理存取要求。
- 出於審核或合規性的原因,有必要追蹤誰要求存取、何時要求存取,以及為何要求存取。
- 有必要對如何要求存取和設定期望進行說明。
以下螢幕擷取畫面顯示了設定使用者在其要求建置權限時看到的自訂指示的範例。 自訂指示內容如下:對於 MTD/QTD/YTD 的標準銷售報告,此語意模型是權威性且是經過認證的來源。請填寫位於 https://COE.contoso.com/RequestAccess 的表單來要求存取語意模型。系統會要求您提供簡短的業務理由,而卓越中心的經理也需要核准該要求。每六個月會審核一次存取權。
有許多選項可以建立表單。 Power Apps 和 Microsoft Forms 都是低程式碼、易於使用的選項。 建議您以獨立於單一使用者的方式建立表單。 由適當的團隊建立、管理及監視您的表單至關重要。
建議您為以下的人員建立有用的資訊:
- 內容建立者,讓他們知道要求存取時會發生什麼。
- 內容擁有者和系統管理員,讓他們知道如何管理所提交的要求。
提示
如需回應取用者的讀取存取要求的詳細資訊,請參閱取用者的要求存取工作流程。 它也包含使用群組 (而不是個別使用者) 的相關資訊。
檢查清單 - 規劃要求存取工作流程時,關鍵決策和動作包括:
- 釐清如何處理存取要求的喜好設定:確定在哪些情況下可以接受擁有者核准,以及何時應使用不同的流程。 在適當的時候,建立有關應如何處理存取要求的治理原則。
- 納入適用於語意模型和資料超市建立者的文件和訓練:包含適用於語意模型和資料超市建立者的指導,說明如何及何時設定存取要求的自訂指示。
- 納入適用於報表建立者的文件和訓練:包含適用於報表建立者的指導,說明他們在要求語意模型和資料超市的「建置」權限時可以期待什麼。
建立和發佈內容
本節包含適用於內容建立者的安全性層面。
注意
對於檢視報表、儀表板和計分卡的取用者,請參閱報表取用者安全性規劃一文。 該文章也涵蓋了與應用程式權限相關的考量事項。
工作區角色
您可以將使用者或群組 (包括安全性群組、Microsoft 365 群組和通訊群組清單) 新增至工作區角色來授與工作區存取權。 將使用者指派為工作區角色可讓您指定他們可以對工作區及其內容執行哪些動作。
注意
如需工作區規劃考量事項的詳細資訊,請參閱工作區規劃文章。 如需群組的詳細資訊,請參閱租用戶層級安全性規劃一文。
由於工作區的主要目的是共同作業,因此工作區存取權大多與擁有和管理其內容的使用者相關。 當開始規劃工作區角色時,問自己以下問題會很有幫助。
- 工作區中共同作業進行方式的預期為何?
- 誰將負責管理工作區中的內容?
- 是否打算將個別使用者或群組指派給工作區角色?
有四種 Power BI 工作區角色:系統管理員、成員、參與者和檢視者。 前三種角色與建立和發佈內容的內容建立者有關。 檢視者角色與唯讀取用者有關。
這四種工作區角色權限是內嵌的。 這表示工作區系統管理員擁有成員、參與者和檢視者可用的所有功能。 同樣地,成員擁有參與者和檢視者可用的所有功能。 參與者擁有檢視者可用的所有功能。
提示
請參閱工作區角色文件,以了解這四種角色各自的權威參考資料。
工作區管理員
指派為系統管理員角色的使用者將成為工作區系統管理員。 他們可以管理所有設定並執行所有動作,包括新增或移除使用者 (包括其他工作區系統管理員)。
工作區系統管理員可以更新或刪除 Power BI 應用程式 (如果有的話)。 他們可以選擇性地允許參與者更新工作區的應用程式。 如需詳細資訊,請參閱本文後面的工作區角色的變體。
提示
提到系統管理員時,請務必澄清您指的是工作區系統管理員 (workspace administrator) 還是 Power BI 租用戶層級系統管理員 (Power BI tenant-level administrator)。
請注意確保只有受信任且可靠的個人才是工作區系統管理員。 工作區系統管理員具有較高的權限。 他們有權檢視及管理工作區中的所有內容。 他們可以對任何工作區角色新增和移除使用者 (包括其他系統管理員)。 他們也可以刪除工作區。
我們建議至少有兩位系統管理員,以便在主要系統管理員無法使用時,另一位系統管理員可以作為備用的系統管理員。 沒有系統管理員的工作區稱為孤立工作區。 當使用者離開組織且沒有為該工作區指派替代的系統管理員時,就會出現孤立的狀態。 如需如何偵測及修正孤立工作區的詳細資訊,請參閱檢視工作區一文。
在理想情況下,您應該能夠根據誰是工作區系統管理員和成員 (以及為工作區指定的連絡人) 來確定誰負責工作區內容。 不過,有些組織會採用內容擁有權和管理策略,將工作區建立限制給特定的使用者或群組執行。 他們通常有一個由 IT 部門管理的既定工作區建立流程。 在此情況下,工作區系統管理員會是 IT 部門,而不是直接建立和發佈內容的使用者。
工作區成員
指派為成員角色的使用者可以新增其他工作區使用者 (但不能新增系統管理員)。 他們也可以管理工作區中所有內容的權限。
工作區成員可以發佈或取消發佈工作區的應用程式、共用工作區項目或應用程式,並允許其他使用者共用應用程式的工作區項目。
工作區成員應限於需要管理工作區內容建立和發佈應用程式的使用者。 在某些情況下,工作區系統管理員可以達到該目的,因此您可能不需要將任何使用者或群組指派為成員角色。 當工作區系統管理員與工作區內容不直接相關時 (例如,因為 IT 會管理工作區建立流程),工作區成員可能是負責工作區內容的真正擁有者。
工作區參與者
指派為參與者角色的使用者可以建立、編輯或刪除工作區內容。
除非工作區設定允許,否則參與者無法更新 Power BI 應用程式 (當工作區存在 Power BI 應用程式時)。 如需詳細資訊,請參閱本文後面的工作區角色的變體。
組織中的大部分內容建立者都是工作區參與者。
工作區檢視者
指派為檢視者角色的使用者可以檢視所有工作區內容並與之互動。
檢視者角色與小型團隊和非正式案例的唯讀取用者相關。 報表取用者安全性規劃一文對此進行了完整的描述。
工作區擁有權考量事項
設想有一個範例,其中採取以下動作來設定新的工作區。
- 特定的 Power BI 倡導者和卓越中心 (COE) 的衛星成員已在租用戶設定中被授與建立新工作區的權限。 他們已受過內容組織策略和命名標準的訓練。
- 您 (內容建立者) 可以提交要求,以針對您將管理的新專案建立工作區。 工作區會包含追蹤您的專案進度的報告。
- 您業務單位的 Power BI 倡導者會收到該要求。 他們會判斷新的工作區是否合理。 然後,他們會建立一個工作區,並將 Power BI 倡導者安全性安全群組 (針對其業務單位) 指派為工作區系統管理員角色。
- Power BI 倡導者會將您 (內容建立者) 指派為工作區成員角色。
- 您需要將一位值得信賴的同事指派為工作區成員角色,以確保在您離開時有備用人員。
- 您需要將其他同事指派為工作區參與者角色,因為他們將負責建立工作區內容,包括語意模型和報表。
- 您需要將您的經理指派為工作區檢視者角色,因為他們需要可以監視專案進度的權限。 您的經理希望在您發佈應用程式之前先檢閱工作區中的內容。
- 您需要負責管理其他工作區屬性,例如描述和連絡人。 您也需要負責持續管理工作區的存取權。
前面的範例展示了一種允許分散的業務單位獨立運作的能力的有效方法。 它也展示了最低權限原則。
對於受治理的內容或更嚴格管理的重要內容,最佳做法是將群組 (而非個別使用者帳戶) 指派為工作區角色。 這樣,您就可以與工作區分開管理群組成員資格。 不過,當您將群組指派為角色時,使用者可能會被指派為多個工作區角色 (因為使用者屬於多個群組)。 在這種情況下,其實際權限是基於其被指派的最高角色。 如需更多考量事項,請參閱使用群組的策略。
當工作空間由多位個人或團隊共同擁有時,內容管理可能會變得複雜。 嘗試透過分隔工作區來避免多團隊擁有權的情況。 這樣,職責就會很明確,角色指派也會很容易設定。
工作區角色的變體
四種工作區角色有兩種變體 (前面已描述)。
- 根據預設,只有工作區系統管理員和成員可以建立、發佈及更新工作區的應用程式。 允許參與者更新此工作區的應用程式設定是一項工作區層級的設定,它可讓工作區系統管理員將更新工作區應用程式的能力委派給參與者。 不過,參與者無法發佈新的應用程式,或變更具有其編輯權限的人員。 當您希望參與者能夠更新應用程式 (當工作區存在應用程式時),但不授與成員可用的其他權限時,此設定非常有用。
- 阻止重新發佈並停用套件重新整理租用戶設定只允許語意模型擁有者發佈更新。 啟用後,工作區系統管理員、成員和參與者無法發佈變更 (除非他們先作為語意模型的擁有者接管該語意模型)。 由於此設定適用於整個組織,因此請謹慎啟用它,因為它會影響租用戶的所有語意模型。 請務必與您的語意模型建立者溝通預期的內容,因為它會變更工作區角色的正常行為。
重要
每項的權限也可以視為標準工作區角色的覆寫。 如需每項權限的詳細資訊,請參閱報表取用者安全性規劃一文。
檢查清單 - 規劃工作區角色時,關鍵決策和動作包括:
- 建立責任矩陣圖:劃分預期會在建立、維護、發佈、保護及支援內容時處理每個職能的人員。 規劃工作區角色時,請使用此資訊。
- 決定為內容建立者指派工作區角色的策略:決定哪些使用者應該是系統管理員、成員或參與者,以及在什麼情況下 (例如工作角色或主題領域) 進行指派。 如果存在導致安全性問題的不符情況,請重新考慮如何更妥善地組織您的工作區。
- 確定應如何將安全性群組與個人用於工作區角色:確定您需要使用群組的使用案例和目的。 具體說明何時應使用使用者帳戶套用安全性,以及何時需要或優先使用群組。
- 為內容建立者提供有關管理工作區角色的指導:包含為內容建立者提供有關如何管理工作區角色的文件。 將此資訊發佈至您的集中式入口網站和訓練教材。
- 設定及測試工作區角色指派:驗證內容建立者是否具有編輯和發佈內容所需的功能。
應用程式建立者權限
作為工作區系統管理員或成員的內容建立者可以建立及發佈 Power BI 應用程式。
工作區系統管理員也可以在工作區中指定一項設定,以允許工作區參與者更新應用程式。 這是工作區角色安全性的變體,因為它會向參與者授與他們通常不會擁有的另一種權限。 此設定是基於每個工作區進行設定的。
提示
如需將內容提供給唯讀取用者的詳細資訊,請參閱報表取用者安全性規劃一文。 本文包含有關應用程式取用者 (包括應用程式的對象) 的應用程式權限的資訊。
檢查清單 - 規劃應用程式建立者權限時,關鍵決策和動作包括:
- 決定誰可以建立及發佈 Power BI 應用程式的策略:釐清應允許誰可以建立及發佈 Power BI 應用程式。
- 確定參與者何時可以更新 Power BI 應用程式:釐清應允許參與者更新 Power BI 應用程式的情況。 需要此功能時,請更新工作區設定。
資料來源權限
當資料建立者開始新專案時,存取外部資料來源所需的權限是他們首先要考慮的安全性相關因素之一。 他們可能還需要其他資料來源相關問題的指導,包括隱私權等級、原生資料庫查詢和自訂連接器。
存取資料來源
當資料建立者建立語意模型、資料流程或資料超市時,他們必須向資料來源進行驗證才能擷取資料。 通常,驗證牽涉到使用者認證 (帳戶和密碼),這可能用於服務帳戶。
有時,建立特定的服務帳戶來存取資料來源很有用。 請諮詢您的 IT 部門,以取得應如何在您的組織中使用服務帳戶的相關指導。 如果獲得允許,使用服務帳戶可以:
- 集中資料來源所需的權限。
- 減少需要資料來源權限的個別使用者數目。
- 避免使用者離開組織時資料重新整理失敗。
提示
如果您選擇使用服務帳戶,建議您嚴格控制有權存取認證的人員。 定期 (例如每三個月一次) 或在有權存取的人員離開組織時輪換密碼。
存取資料來源時,請套用最低權限原則以確保使用者 (或服務帳戶) 有權讀取僅他們所需的資料。 他們永遠不應該擁有執行資料修改的權限。 建立這些服務帳戶的資料庫管理員應該查詢預期的查詢和工作負載,並採取措施確保充分的最佳化 (例如索引) 和資源到位。
提示
如果難以向自助資料建立者提供直接資料來源存取權,請考慮使用間接方法。 您可以在 Power BI 服務中建立資料流程,並允許自助資料建立者從中取得資料。 此方法具有減少資料來源上的查詢負載並提供一致的資料快照的額外好處。 如需詳細資訊,請參閱自助資料準備和進階資料準備使用案例。
認證 (帳戶和密碼) 可以透過以下兩種方式其中一種加以套用。
- Power BI Desktop:認證會經過加密並儲存在使用者的本機電腦上。
- Power BI 服務:認證會經過加密並針對以下任一項安全地加以儲存:
提示
當您已經輸入語意模型資料來源的認證時,則在連接字串和資料庫名稱完全相符時,Power BI 服務會自動將這些認證繫結到其他語意模型資料來源。 Power BI 服務和 Power BI Desktop 都讓您看起來像是在為每個資料來源輸入認證一樣。 不過,它可以將相同的認證套用至具有相同擁有者的相符資料來源。 在這方面,語意模型認證的範圍僅限於擁有者。
在 Power BI Desktop 和 Power BI 服務中,認證會進行加密並與資料模型分開儲存。 這種資料分離具有以下安全性優點。
- 它有助於重複使用多個語意模型、資料流程和資料超市的認證。
- 當有人剖析語意模型的中繼資料時,他們無法擷取認證。
- 在 Power BI Desktop 中,如果不先套用認證,其他使用者將無法連線到原始資料來源來重新整理資料。
某些資料來源支援單一登入 (SSO),這可以在 Power BI 服務中輸入認證時設定 (適用於語意模型或閘道資料來源)。 當您啟用 SSO 時,Power BI 會將已驗證使用者的認證傳送到資料來源。 此選項可讓 Power BI 遵守資料來源中設定的安全性設定,例如資料列層級安全性。 當資料模型中的資料表使用 DirectQuery 儲存模式時,SSO 特別有用。
隱私權等級
資料隱私權等級可指定隔離等級,以定義一個資料來源與其他資料來源的隔離程度。 經過適當設定後,它們可確保 Power Query 僅在來源之間傳輸相容的資料。 當 Power Query 可以在資料來源之間傳輸資料時,可以實現更有效率的查詢,以減少傳送到 Power BI 的資料量。 當它無法在資料來源之間傳輸資料時,則可能會導致效能變慢。
有三個隱私權等級。
- 私人:包含必須與所有其他資料來源隔離的敏感性或機密性資料。 此等級是最嚴格的。 私人資料來源資料不能與任何其他資料來源共用。 例如,包含員工薪資值的人力資源資料庫應設定為私人隱私權等級。
- 組織:與公用資料來源隔離,但其他組織資料來源可以看到。 此等級是最常見的。 組織資料來源資料可以與私人資料來源或其他組織資料來源共用。 大部分的內部作業資料庫都可以使用組織隱私權等級來進行設定。
- 公用:任何資料來源都可以看到的非敏感性資料。 此等級限制最少。 公用資料來源資料可以與任何其他資料來源共用。 例如,從政府網站取得的人口普查報告可以設定為公用隱私權等級。
結合來自不同資料來源的查詢時,設定正確的隱私權等級非常重要。 當隱私權等級設定正確時,來自某個資料來源的資料有可能會傳輸到另一個資料來源以有效地查詢資料。
設想這樣一個場景:語意模型建立者有兩個資料來源:Excel 活頁簿和 Azure SQL Database 中的資料表。 他們想要使用來自 Excel 活頁簿的值來篩選 Azure SQL Database 資料表中的資料。 Power Query 為 Azure SQL Database 產生 SQL 陳述式的最有效方法是套用 WHERE 子句來執行必要的篩選。 不過,該 SQL 陳述式將包含一個 WHERE 子句述詞,其值來自 Excel 活頁簿。 如果 Excel 活頁簿包含敏感性資料,它可能表示存在安全性漏洞,因為資料庫管理員可以使用追蹤工具來檢視 SQL 陳述式。 雖然效率較低,但另一種方法是讓 Power Query 混搭引擎下載資料庫資料表的整個結果集,並在 Power BI 服務中自行執行篩選。 這種方法的效率較低且緩慢,但安全。
可以為每個資料來源設定隱私權等級:
- 由 Power BI Desktop 中的資料建模者來設定。
- 由 Power BI 服務中的語意模型擁有者來設定 (適用於不需要閘道的雲端資料來源)。
- 由 Power BI 服務中的閘道資料來源建立者和擁有者來設定 (適用於閘道資料來源)。
重要
您在 Power BI Desktop 中設定的隱私權等級不會傳送到 Power BI 服務。
有一個 Power BI Desktop 安全性選項,可讓您忽略隱私權等級以提高效能。 當不存在破壞資料安全性的風險時 (因為您正在處理不敏感的開發或測試資料),您可以使用此選項來提高開發資料模型時的查詢效能。 不過,Power BI 服務不支援此設定。
如需詳細資訊,請參閱 Power BI Desktop 隱私權等級。
原生資料庫查詢
若要建立有效率的 Power Query 查詢,您可以使用原生查詢來存取資料。 原生查詢是以資料來源支援的語言撰寫的陳述式。 原生查詢僅受特定資料來源支援,這些資料來源通常是關聯式資料庫,例如 Azure SQL Database。
原生查詢可能會帶來安全性風險,因為它們可能會執行惡意 SQL 陳述式。 惡意陳述式可能會執行資料修改或刪除資料庫記錄 (當使用者在資料來源中具有所需的權限時)。 因此,根據預設,原生查詢需要使用者核准才能在 Power BI Desktop 中執行。
有一個 Power BI Desktop 安全性選項,可讓您停用預先核准的需求。 建議您保留需要使用者核准的預設設定,尤其是當您預計 Power BI Desktop 檔案可能會被其他使用者重新整理時。
自訂連接器
開發人員可以使用 Power Query SDK 來建立自訂連接器。 自訂連接器允許存取專屬資料來源,或使用自訂資料延伸模組來實作特定的驗證。 某些自訂連接器已通過 Microsoft 的認證並以經認證的連接器的形式散發。 認證的連接器已經過審核和檢閱,以確保它們符合 Microsoft 已測試和核准的某些指定程式碼需求。
有一個 Power BI Desktop 資料延伸模組安全性選項,可限制使用未經認證的連接器。 根據預設,嘗試載入未經認證的連接器時會引發錯誤。 透過設定此選項以允許使用未經認證的連接器時,自訂連接器將在沒有驗證或警告的情況下載入。
建議您將資料延伸模組安全性層級保持在較高的層級,這可防止載入未經認證的程式碼。 不過,在某些情況下,您可能想要載入特定的連接器,可能是您已開發的連接器,或由 Microsoft 認證路徑外部的受信任顧問或廠商提供給您的連接器。
注意
內部開發的連接器的開發人員可以採取步驟來使用憑證對連接器進行簽署,讓您無需變更安全性設定即可使用該連接器。 如需詳細資訊,請參閱受信任的第三方連接器。
檢查清單 - 規劃資料來源權限時,關鍵決策和動作包括:
- 決定誰可以直接存取每個資料來源:決定允許哪些資料建立者可以直接存取資料來源。 如果有減少具有直接存取權的人數的策略,請釐清偏好的替代方案是什麼 (或許是使用資料流程)。
- 決定應如何存取資料來源:確定是否會使用個別的使用者認證來存取資料來源,或是否應針對該目的建立服務帳戶。 確定何時適合單一登入。
- 為語意模型建立者提供有關存取資料來源的指導:包括為內容建立者提供有關如何存取組織資料來源的文件。 將此資訊發佈至您的集中式入口網站和訓練教材。
- 為語意模型建立者提供有關隱私權等級的指導:提供指導給語意模型建立者,讓他們知道隱私權等級,以及其在處理敏感性或機密性資料時的影響。 將此資訊發佈至您的集中式入口網站和訓練教材。
- 為閘道連線建立者提供有關隱私權等級的指導:提供指導給語意模型建立者,讓他們知道隱私權等級,以及其在處理敏感性或機密性資料時的影響。 將此資訊發佈至您的集中式入口網站和訓練教材。
- 決定使用原生資料庫查詢的策略:考慮使用原生資料庫查詢的策略。 教育語意模型建立者如何及何時設定 Power BI Desktop 原生資料庫查詢選項,以在 Power Query 執行原生查詢時停用預先核准。
- 決定使用自訂連接器的策略:考慮使用自訂連接器的策略。 確定使用未經認證的連接器是否合理,在這種情況下,請教育語意模型建立者如何及何時設定 Power BI Desktop 資料延伸模組選項。
語意模型建立者權限
您可以透過不同的方式向使用者或群組指派編輯語意模型的權限。
- 工作區角色:指派為任何工作區角色都可以存取工作區中的所有語意模型。 檢視或編輯現有語意模型的能力取決於您所指派的工作區角色。 系統管理員、成員和參與者可以在工作區內發佈或編輯內容。
- 每項的權限連結:如果為報表建立了共用連結,則該連結也會間接授與讀取語意模型的權限 (以及選擇性地授與建置、寫入和/或重新共用的權限)。
- 每項的直接存取權限:您可以將直接存取權限指派給特定的語意模型。
在下面的螢幕擷取畫面中,請注意指派給呼叫中心資料語意模型的權限。 一名使用者擁有讀取權限,該權限是透過使用每項的直接存取權限授與的。 其餘的使用者和群組都具有權限,因為他們已獲指派給工作區角色。
提示
當使用者或群組想要檢視或編輯工作區中的一個特定項目時,使用每項的權限 (連結或直接存取) 效果最佳。 當使用者不被允許存取工作區中的所有項目時,它最適合。 在大部分情況下,建議您設計您的工作區,以便透過工作區角色更輕鬆地管理安全性。 盡可能避免設定每項的權限。
語意模型權限
您可以指派以下的語意模型權限。
- 讀取:此權限主要針對報表取用者,其可讓報表查詢語意模型中的資料。 如需檢視唯讀內容之權限的詳細資訊,請參閱報表取用者安全性規劃一文。
- 建置:此權限主要針對報表建立者,其可讓使用者根據共用語意模型建立新的報表。 如需詳細資訊,請參閱本文稍後的報表建立者權限一節。
- 寫入:此權限主要針對可建立、發佈和管理語意模型的語意模型建立者,其可讓使用者編輯語意模型。 本節稍後將對此進行說明。
- 重新共用:此權限主要針對具有現有語意模型權限的任何人,其可讓使用者與其他使用者共用語意模型。 本節稍後將對此進行說明。
工作區系統管理員或成員可以編輯語意模型的權限。
語意模型讀取權限
語意模型讀取權限主要針對取用者。 使用者需要此權限才能檢視報表中所顯示的資料。 需要注意的是,基於語意模型的報表也必須具有讀取權限;否則,報表將無法載入。 如需設定報表讀取權限的詳細資訊,請參閱報表取用者安全性規劃一文。
語意模型建置權限
除了語意模型讀取權限之外,內容建立者還需要語意模型建置權限。 具體而言,「建置」權限可讓報表建立者:
- 根據語意模型建立新的 Power BI 報表。
- 使用在 Excel 中進行分析來連線到語意模型。
- 使用 XMLA 端點來查詢語意模型。
- 匯出 Power BI 報表視覺效果基礎資料 (而不是視覺效果所擷取的摘要資料)。
- 建立與 Power BI 語意模型的 DirectQuery 的連線。 在此情況下,新的語意模型會連線到一或多個現有的 PowerBI 語意模型 (稱為鏈結)。 若要查詢鏈結的語意模型,語意模型建立者將需要所有上游語意模型的「建置」權限。 如需詳細資訊,請參閱本文稍後的鏈結語意模型。
您可以透過不同的方式直接或間接向使用者或群組授與「建置」權限。
- 直接透過以下方式授與「建置」權限:
- 在 Power BI 服務的語意模型設定頁面上設定語意模型權限。
- 使用 Power BI REST API 設定語意模型權限。
- 間接透過以下方式授與「建置」權限:
- 共用報表或儀表板,並設定授與語意模型「建置」權限的選項。
- 發佈 Power BI 應用程式並設定進階選項 (針對對象),以授與相關語意模型的「建置」權限。
- 將使用者指派為系統管理員、成員或參與者的工作區角色。
當您希望以細微、逐項的方式管理安全性時,直接為語意模型設定「建置」權限是合適的。 當透過其中一種間接方法檢視或使用內容的使用者也將建立新的內容時,間接設定「建置」權限是合適的。
提示
通常,檢視報表或 Power BI 應用程式的使用者與使用基礎語意模型建立新內容的使用者不同。 大部分的取用者只是檢視者,因此他們不需要建立新的內容。 建議您教育內容建立者授與所需的最少權限數目。
語意模型寫入權限
通常,會透過將使用者指派為系統管理員、成員或參與者的工作區角色,來設定誰可以編輯和管理語意模型的權限。 不過,您也可以針對特定的語意模型設定「寫入」權限。
建議您盡可能使用工作區角色,因為這是管理和審核權限最簡單的方式。 當您已選擇建立較少的工作區,且工作區包含需要不同權限管理的不同主題領域的語意模型時,請使用基於每個項目的語意模型「寫入」權限。
提示
如需如何組織工作區的指導,請參閱工作區規劃文章。
語意模型重新共用權限
語意模型「重新共用」權限可讓具有現有權限的使用者與其他使用者共用語意模型。 當語意模型中的內容可以根據使用者的判斷來自由共用時,您可以授與此權限。
在許多情況下,我們建議限制使用「重新共用」權限,以確保謹慎控制語意模型權限。 在授與「重新共用」權限之前,請先取得語意模型擁有者的核准。
語意模型資料安全性
您可以透過強制執行資料安全性來規劃建立較少的語意模型和報表。 目標是要根據檢視內容的使用者身分識別來強制執行資料安全性。
語意模型建立者可以透過以下兩種方式來強制執行資料安全性。
- 資料列層級安全性 (RLS) 可讓資料建模者限制對資料子集的存取。
- 物件層級安全性 (OLS) 可讓資料建模者限制對特定資料表和資料行及其中繼資料的存取。
RLS 和 OLS 的實作是針對報表使用者進行的。 如需詳細資訊,請參閱報告取用者安全性規劃一文 (部分機器翻譯)。 它描述了對於具有語意模型僅檢視權限的取用者,如何及何時強制執行 RLS 和 OLS。
如需針對其他報表建立者的 RLS 和 OLS 資訊,請參閱本文稍後的報表建立者權限一節中的資料安全性。
鏈結語意模型
Power BI 語意模型可以透過稱為鏈結 (與上游語意模型的連線) 的流程連線到其他語意模型。 如需詳細資訊,請參閱使用適用於 Power BI 語意模型和 Analysis Services 的 DirectQuery。
允許 DirectQuery 連線到 Power BI 語意模型租用戶設定可讓 Power BI 管理員設定哪些內容建立者群組可以建立鏈結的語意模型。 如果您不想限制語意模型建立者鏈結語意模型,您可以為整個組織保留此設定在啟用的狀態,並依賴工作區存取和語意模型權限。 在某些情況下,您可能會考慮將此功能限定僅供已核准的內容建立者使用。
注意
作為語意模型創建者,您可以限制與您的語意模型鏈結。 這是透過在 Power BI Desktop 中啟用阻止 DirectQuery 連線到此語意模型選項來進行的。 如需詳細資訊,請參閱管理已發佈語意模型的 DirectQuery 連線。
語意模型 API 查詢
在某些情況下,您可能想要使用 Power BI REST API 來執行 DAX 查詢。 例如,您可能想要執行資料品質驗證。 如需詳細資訊,請參閱資料集 - 執行查詢。
資料集執行查詢 REST API 租用戶設定可讓 Power BI 管理員使用 Power BI REST API 來設定哪些使用者群組可以傳送 DAX 查詢。 在大部分情況下,您可以為整個組織保留此設定在啟用的狀態,並依賴工作區存取和語意模型權限。 在某些情況下,您可能會考慮將此功能限定僅供已核准的內容建立者使用。
檢查清單 - 規劃語意模型建立者權限時,關鍵決策和動作包括:
- 決定語意模型建立者權限的策略:確定在管理語意模型建立者的安全性時有哪些喜好設定和需求。 考慮資料敏感度的主題領域和層級。 也要考慮允許誰可以負責在集中式和分散式業務單位中管理資料和權限。
- 檢閱如何處理語意模型建立者的工作區角色:確定這對您的工作區設計流程有何影響。 為每個主題領域建立個別的資料工作區,以便您可以更輕鬆地管理每個主題領域的工作區角色和語意模型安全性。
- 為語意模型建立者提供有關管理權限的指導:包括為語意模型建立者提供有關如何管理語意模型權限的文件。 將此資訊發佈至您的集中式入口網站和訓練教材。
- 決定誰可以使用 Power BI 語意模型的 DirectQuery 連線:決定 Power BI 語意模型建立者 (具有現有語意模型「建置」權限) 可以建立與 Power BI 語意模型的連線是否應有任何限制。 設定允許 DirectQuery 連線到 Power BI 語意模型租用戶設定以符合此決策。 如果您決定限制此功能,請考慮使用 Power BI 核准的語意模型建立者等群組。
- 決定誰可以使用 REST API 來查詢 Power BI 語意模型:決定是否限制 Power BI 內容建立者使用 Power BI REST API 來查詢 Power BI 語意模型。 設定資料集執行查詢 REST API 租用戶設定以符合此決策。 如果您決定限制此功能,請考慮使用 Power BI 核准的報表建立者等群組。
- 決定語意模型建立者使用 RLS 或 OLS 的策略:考慮您打算使用 RLS 或 OLS 的使用案例和目的。 當您想要針對語意模型建立者強制執行 RLS 或 OLS 時,請考慮工作區設計策略以及誰擁有讀取權限和編輯權限。
報表建立者權限
報表建立者需要工作區存取權才能在 Power BI 服務中建立報表或從 Power BI Desktop 發佈報表。 他們必須是目標工作區中的系統管理員、成員或參與者。
只要有可能,報表建立者就應使用現有的共用語意模型 (透過即時連線或 DirectQuery)。 這樣,報表建立流程就會與語意模型建立流程分離。 這種類型的分離為安全性和團隊開發案例提供了許多好處。
報表建立者必須是工作區系統管理員、成員或參與者。
不同於語意模型,報表沒有「寫入」權限。 若要支援報表建立者,則必須使用工作區角色。 因此,最佳的工作區設計對於平衡內容組織和安全性需求非常重要。
提示
如需支援報表取用者的權限 (包括讀取和重新共用每項的權限),請參閱報表取用者安全性規劃一文。
基礎語意模型的讀取和建置權限
報表建立者必須對其報表將使用的語意模型 (包括鏈結語意模型) 擁有讀取和建置權限。 可以對個別的語意模型明確地授與該權限,或者當報表建立者是工作區系統管理員、成員或參與者時,可以為工作區語意模型隱含地授與該權限。
跨工作區使用語意模型租用戶設定可讓 Power BI 管理員設定哪些使用者群組可以建立使用位於其他工作區中的語意模型的報表。 此設定是針對語意模型和報表建立者。 通常,建議您為整個組織保留此設定在啟用的狀態,並依賴工作區存取和語意模型權限。 這樣,您就可以鼓勵使用現有的語意模型。 在某些情況下,您可能會考慮將此功能僅限於已核准的內容建立者使用。
另外還有允許即時連線租用戶設定,這可讓 Power BI 管理員設定哪些使用者可以在 Power BI Desktop 或 Excel 中建立與語意模型的即時連線。 它專門針對報表建立者,並且還要求他們獲授與對報表將使用的語意模型的讀取和建置權限。 建議您為整個組織保留此設定在啟用的狀態,並依賴工作區存取和語意模型權限。 這樣,您就可以鼓勵使用現有的語意模型。 在某些情況下,您可能會考慮將此功能僅限於已核准的內容建立者使用。
基礎語意模型的資料安全性
RLS 和 OLS (本文前面所述) 是針對報表取用者。 不過,有時也需要針對報表建立者強制執行它。 當需要針對報表建立者和報表取用者強制執行 RLS 時,建立個別的工作區是合理的。
請參考下列案例。
- 使用 RLS 的集中式共用語意模型:企業 BI 團隊已將銷售語意模型發佈到銷售資料工作區。 這些語意模型會強制執行 RLS,以顯示報表取用者所指派銷售區域的銷售資料。
- 分散式自助報表建立者:銷售和行銷業務單位有許多能幹的分析師,他們可以建立自己的報表。 他們會將其報表發佈至銷售分析工作區。
- 語意模型的讀取和建置權限:只要有可能,分析師就會使用銷售資料工作區中的語意模型來避免不必要的資料重複。 因為分析師對這些語意模型只有讀取和建置權限 (沒有寫入或編輯權限),所以會針對報表建立者 (以及報表取用者) 強制執行 RLS。
- 編輯報表工作區的權限:分析師在銷售分析工作區中擁有更多的權限。 系統管理員、成員或參與者工作區角色可讓他們發佈和管理其報表。
如需 RLS 和 OLS 的詳細資訊,請參閱報表取用者安全性規劃一文。 它描述了對於具有語意模型僅檢視權限的取用者,如何及何時強制執行 RLS 和 OLS。
連接到外部語意模型
當報表建立者連線到其報表的共用語意模型時,他們通常會連線到已在自己的 Power BI 租用戶中發佈的共用語意模型。 授與權限時,也可以連線至另一個租用戶中的共用語意模型。 其他租用戶可能是合作夥伴、客戶或廠商。
此功能稱為就地語意模型共用 (也稱為跨租用戶語意模型共用)。 報表建立者所建立的報表 (或語意模型建立者所建立的新複合模型) 會使用您的正常流程儲存在您的 Power BI 租用戶中並受到保護。 原始共用語意模型會保留在其原始 Power BI 租用戶中,而且所有權限都會在那裡管理。
如需詳細資訊,請參閱租用戶層級安全性規劃一文。 它包括有關使外部共用正常運作的租用戶設定和語意模型設定的資訊。
精選資料表
在 Power BI Desktop 中,語意模型建立者可以將模型資料表設定為成為精選資料表。 當語意模型發佈到 Power BI 服務時,報表建立者可以使用 Excel 中的「資料類型資源庫」來尋找精選資料表,讓他們新增精選資料表資料以擴充其 Excel 工作表。
允許精選資料表的連線租用戶設定可讓 Power BI 管理員設定哪些使用者群組可以存取精選的資料表。 它是針對想要存取 Excel 組織資料類型中 Power BI 精選資料表的 Excel 使用者。 建議您為整個組織保留此設定在啟用的狀態,並依賴工作區存取和語意模型權限。 這樣,您就可以鼓勵使用精選資料表。
自訂視覺效果權限
除了核心視覺效果之外,Power BI 報表建立者還可以使用自訂視覺效果。 在 Power BI Desktop 中,可以從 Microsoft AppSource 下載自訂視覺效果。 它們也可以使用 Power BI SDK 在內部進行開發,以及透過開啟視覺效果檔案 (.pbviz) 進行安裝。
一些可從 AppSource 下載的視覺效果是經過認證的視覺效果。 經過認證的視覺效果符合 Power BI 團隊已測試及核准的某些指定程式碼需求。 這些測試會檢查視覺效果是否不會存取外部的服務或資源。
允許 Power BI SDK 所建立的視覺效果租用戶設定可讓 Power BI 管理員控制哪些使用者群組可以使用自訂視覺效果。
另外還有新增及使用僅經過認證的視覺效果租用戶設定,這可讓 Power BI 管理員阻止在 Power BI 服務中使用未經認證的視覺效果。 可以針對整個組織啟用或停用此設定。
注意
如果您封鎖使用未經認證的視覺效果,它只會套用至 Power BI 服務。 如果您想要限制它們在 Power BI Desktop 中使用,請要求系統管理員使用群組原則設定來阻止它們在 Power BI Desktop 中使用。 採取此步驟將確保報表建立者不會浪費時間和精力來建立在發佈到 Power BI 服務時無法運作的報表。 強烈建議您將您的使用者設定為在 Power BI 服務 (使用租用戶設定) 和 Power BI Desktop (使用群組原則) 中擁有一致的體驗。
當報表建立者將自訂視覺效果新增至報表時,Power BI Desktop 有一個可以顯示安全性警告的選項。 報表建立者可以停用此選項。 此選項不會測試視覺效果是否經過認證。
Power BI 管理員可以核准及部署其組織的自訂視覺效果。 然後,報表建立者可以輕鬆地探索、更新和使用這些視覺效果。 系統管理員接著可以透過更新版本或停用和啟用特定的自訂視覺效果來管理這些視覺效果。 當您想要向您的報表建立者提供內部開發的視覺效果時,或者當您從 AppSource 中不存在的廠商取得自訂視覺效果時,此方法非常有用。 如需詳細資訊,請參閱 Power BI 組織視覺效果。
考慮採用一種平衡策略,在您的組織中僅啟用經認證的自訂視覺效果 (使用前面所述的租用戶設定和群組原則),同時部署組織視覺效果來處理任何例外情況。
檢查清單 - 規劃報表建立者權限時,關鍵決策和動作包括:
- 決定報表建立者權限的策略:確定在管理報表建立者的安全性時有哪些喜好設定和需求。 考慮資料敏感度的主題領域和層級。 此外,還要考慮允許誰可以負責在集中式和分散式業務單位中建立和管理報表。
- 檢閱如何處理報表建立者的工作區角色:確定這對您的工作區設計流程有何影響。 為每個主題領域建立個別的資料工作區和報告工作區,以便簡化該主題領域的工作區角色 (和基礎語意模型安全性)。
- 為報表建立者提供有關管理權限的指導:包括為報表建立者提供有關如何管理報表取用者權限的文件。 將此資訊發佈至您的集中式入口網站和訓練教材。
- 決定誰可以使用共用語意模型:決定 Power BI 報表建立者 (已擁有語意模型的讀取和建置權限) 跨工作區使用語意模型是否應受到任何限制。 設定跨工作區使用語意模型租用戶設定以符合此決策。 如果您決定限制此功能,請考慮使用 Power BI 核准的報表建立者等群組。
- 決定誰可以使用即時連線:決定 Power BI 報表建立者 (已擁有語意模型的讀取和建置權限) 使用即時連線是否應受到任何限制。 設定允許即時連線租用戶設定以符合此決策。 如果您決定限制此功能,請考慮使用 Power BI 核准的報表建立者等群組。
- 決定報表建立者使用 RLS 的策略:考慮您打算使用資料列層級安全性的使用案例和目的。 考慮工作區設計策略,以確保為報表建立者強制執行 RLS。
- 決定使用自訂視覺效果的策略:考慮報表建立者可以使用自訂視覺效果的策略。 設定允許 Power BI SDK 所建立的視覺效果租用戶設定以符合此決策。 在適當的時候建立使用組織視覺效果的流程。
資料流程建立者權限
資料流程有助於集中資料準備,以便在 Power Query 中完成的工作不會在許多語意模型中重複。 它們是實現單一事實來源、防止分析師要求直接存取來源,以及協助大規模執行擷取、轉換和載入 (ETL) 作業的建置組塊。
資料流程建立者必須是工作區系統管理員、成員或參與者。
若要取用資料流程 (例如,來自在 Power BI Desktop 或其他工作區中建立的新資料模型),語意模型建立者可以屬於任何工作區角色,包括檢視者角色。 資料流程沒有 RLS 的概念。
除了工作區角色之外,還必須啟用建立和使用資料流程租用戶設定。 此租用戶設定適用於整個組織。
請參考下列案例。
- 組織中的許多語意模型都需要強制執行動態 RLS。 它要求將使用者主體名稱 (UPN) 儲存在語意模型中 (以按報表取用者的身分識別進行篩選)。
- 屬於人力資源部門的資料流程建立者會建立目前員工詳細資料 (包括其 UPN) 的資料流程。 他們會將資料流程設定為每天重新整理一次。
- 然後,語意模型建立者會在其模型設計中取用資料流程來設定 RLS。
如需使用資料流程的詳細資訊,請參閱自助資料準備和進階資料準備使用案例。
檢查清單 - 規劃資料流程建立者權限時,關鍵決策和動作包括:
- 決定資料流程建立者權限的策略:確定在管理資料流程建立者的安全性時有哪些喜好設定和需求。 考慮允許或鼓勵誰負責在集中式和分散式業務單位中管理資料準備活動。
- 決定誰可以建立資料流程:決定 Power BI 資料建立者建立資料流程是否應受到任何限制。 設定建立及使用資料流程租用戶設定以符合此決策。
- 檢閱如何處理資料流程建立者的工作區角色:確定這對您的工作區設計流程有何影響。 為每個主題領域建立個別的資料流程工作區,以便您可以在適當的時候分別處理每個主題領域的工作區角色和權限。
資料超市建立者權限
資料超市是一種自助分析解決方案,可讓使用者儲存並探索載入到完全受控的關聯式資料庫中的資料。 它也包含自動產生的語意模型。
資料超市提供一個簡單的低程式碼體驗,可從不同的資料來源中擷取資料,以及使用 Power Query Online 來擷取、轉換和載入 (ETL) 資料。 資料會載入到完全受控且無需調整或最佳化的 Azure SQL Database 中。 自動產生的語意模型一律會與受控資料庫同步處理,因為它處於 DirectQuery 模式中。
當您是工作區系統管理員、成員或參與者時,您可以建立資料超市。 工作區角色也會對應到 Azure SQL Database 中的資料庫層級角色 (不過,因為資料庫是完全受控的,所以無法在關聯式資料庫中編輯或管理使用者權限)。
建立資料超市租用戶設定可讓 Power BI 管理員設定哪些使用者群組可以建立資料超市。
資料超市共用
對於資料超市,共用一詞具有與其他 Power BI 內容類型不同的含義。 通常,共用作業是針對取用者,因為它提供對一個項目 (例如報表) 的唯讀權限。
共用資料超市是針對內容建立者 (而不是取用者)。 它會授與讀取和建置權限,以允許使用者根據自己的喜好來查詢語意模型或關聯式資料庫。
共用資料超市可讓內容建立者:
- 使用自動產生的語意模型來建置內容:語意模型是可在其上建置 Power BI 報表的語意層。 大部分的報表建立者都應該使用語意模型。
- 連線並查詢 Azure SQL Database:關聯式資料庫對於想要建立新語意模型或編頁報表的內容建立者非常有用。 他們可以撰寫結構化查詢語言 (SQL) 查詢來使用 SQL 端點來擷取資料。
資料超市資料列層級安全性
您可以定義資料超市的 RLS 以限制指定使用者的資料存取。 RLS 是在 Power BI 服務的資料超市編輯器中設定的,而且會自動套用至自動產生的語意模型和 Azure SQL Database (作為安全性規則)。
無論使用者選擇如何連線到資料超市 (連線到語意模型或資料庫),都會強制執行相同的 RLS 權限。
檢查清單 - 規劃資料超市建立者權限時,關鍵決策和動作包括:
- 決定資料超市建立者權限的策略:確定在管理資料超市建立者的安全性時有哪些喜好設定和需求。 考慮允許或鼓勵誰負責在集中式和分散式業務單位中管理資料。
- 決定誰可以建立資料超市:決定 Power BI 資料建立者建立資料超市是否應受到任何限制。 設定建立資料超市租用戶設定以符合此決策。 如果您決定限制誰可以建立資料超市,請考慮使用 Power BI 核准的資料超市建立者等群組。
- 檢閱如何處理資料超市建立者的工作區角色:確定這對您的工作區設計流程有何影響。 為每個主題領域建立個別的資料工作區,以便可以簡化該主題領域的工作區角色和語意模型安全性。
- 為資料超市建立者提供有關管理權限的指導:包括為資料超市建立者提供有關如何管理資料超市權限的文件。 將此資訊發佈至您的集中式入口網站和訓練教材。
- 決定在資料超市中使用 RLS 的策略:考慮您打算在資料超市中使用 RLS 的使用案例和目的。
計分卡建立者權限
Power BI 中的計量可讓您策劃特定的計量並根據關鍵業務目標來追蹤這些計量。 計量會新增至計分卡中,其可以與其他使用者共用並在單一窗格中進行檢視。
計分卡可以透過三種權限層級來加以保護:
- 工作區。
- 計分卡 (每個項目) 權限。
- 計量 (在計分卡內)。
建立 (或完全管理) 計分卡的使用者必須是工作區系統管理員、成員或參與者。
因為計量通常會跨越多個主題領域,所以建議您建立個別的工作區,以便您可以獨立管理建立者和取用者的權限。
建立及使用計量租用戶設定可讓 Power BI 管理員設定哪些使用者群組可以建立計分卡計量。
計分卡權限
您可以指派下列計分卡權限。
- 讀取:此權限可讓使用者檢視計分卡。
- 重新共用:此權限主要針對具有現有計分卡權限的任何人,其可讓使用者與其他使用者共用計分卡。
與 Power BI 服務中的其他內容類型一致,當意圖是與另一位使用者共用一個項目時,每個項目的權限會很有用。 建議您盡可能使用工作區角色和應用程式權限。
計量層級權限
每個計分卡都有一組計量層級權限,您可以在計分卡設定中進行設定。 計量層級權限 (在計分卡內) 的授與方式可以與工作區或計分卡 (每個項目) 權限不同。
計量層級角色可讓您設定:
- 誰可以檢視計分卡上的各個計量。
- 誰可以透過以下方式更新各個計量:
- 在簽入期間更新狀態。
- 在簽入期間新增備註。
- 在簽入期間更新目前的值。
為了降低未來維護的層級,可以設定預設的權限,這些權限將會被您未來所建立的子計量繼承。
檢查清單 - 規劃計量建立者權限時,關鍵決策和動作包括:
- 決定計分卡建立者權限的策略:確定在管理計分卡建立者的安全性時有哪些喜好設定和需求。 考慮允許或鼓勵誰負責在集中式和分散式業務單位中管理資料。
- 決定誰可以建立計分卡:決定 Power BI 資料建立者建立計分卡是否應受到任何限制。 設定建立及使用計量租用戶設定以符合此決策。 如果您決定限制誰可以建立計分卡,請考慮使用 Power BI 核准的計分卡建立者等群組。
- 檢閱如何處理計分卡建立者的工作區角色:確定這對您的工作區設計流程有何影響。 當內容跨越主題領域時,請考慮為計分卡建立個別的工作區。
- 為計分卡建立者提供有關管理權限的指導:包括為計分卡建立者提供有關如何管理計量層級權限的文件。 將此資訊發佈至您的集中式入口網站和訓練教材。
發佈內容
本節包括與發佈與內容建立者相關的內容相關的主題。
工作區
內容建立者需要系統管理員、成員或參與者角色存取權才能將內容發佈到工作區。 如需詳細資訊,請參閱本文稍早所述的工作區角色。
除了 個人 BI 之外,還應該鼓勵內容建立者將內容發佈到標準工作區,而不是他們的個人工作區。
阻止重新發佈並停用套件重新整理租用戶設定會變更發佈語意模型的行為。 啟用後,工作區系統管理員、成員或參與者無法發佈對語意模型的變更。 只允許語意模型擁有者發佈更新 (在發佈更新的語意模型之前強制接管語意模型)。 由於此租用戶設定適用於整個組織,因此請謹慎啟用它,因為它會影響整個租用戶的所有語意模型。 請務必與您的語意模型建立者溝通預期的內容,因為它會變更工作區角色的正常行為。
Power Apps 同步處理
可以建立包含內嵌式 Power BI 報表的 Power Apps 解決方案。 Power Apps 流程將自動一個建立專用的 Power BI 工作區,以用於儲存和保護 Power BI 報表和語意模型。 若要管理同時存在於 Power Apps 和 Power BI 中的項目,則需要有一個同步處理的流程。
此流程會同步處理安全性角色,以確保 Power BI 繼承最初在 Power Apps 中設定的相同角色。 它也允許內容建立者管理誰可以檢視內嵌在 Power App 中的 Power BI 報表 (和相關語意模型) 的權限。
如需同步處理 Power Apps 角色與 Power BI 工作區角色的詳細資訊,請參閱 Power Apps 環境與 Power BI 工作區之間的權限同步。
部署管線存取
內容建立者和擁有者都可以使用 Power BI 部署管線來進行自助內容發佈。 部署管線可簡化發佈流程,並在發佈新內容時改善控制層級。
您可以與工作區角色分開管理管線權限 (針對可使用部署管線部署內容的使用者)。 執行部署的使用者需要同時存取工作區和部署管線。
內容建立者可能還需要:
- 工作區建立權限 (當工作區需要由管線建立時)。
- Premium 或 Fabric 容量權限 (當工作區由管線指派時)。
重要
此文章有時會提及 Power BI Premium 或其容量訂用帳戶 (P SKU)。 請注意,Microsoft 目前正在整合購買選項,並按容量 SKU 淘汰 Power BI Premium。 新客戶和現有客戶應考慮改為購買 Fabric 容量訂用帳戶 (F SKU)。
如需詳細資訊,請參閱 Power BI Premium 授權的重要更新和 Power BI Premium 常見問題集。
如需詳細資訊,請參閱部署管線存取。
XMLA 端點
XMLA 端點會使用 XMLA 通訊協定來公開表格式資料模型的所有功能,包括 Power BI Desktop 不支援的某些資料模型化作業。 您可以使用表格式物件模型 (TOM) API 來對資料模型進行程式設計變更。
XMLA 端點也提供連線能力。 只有當工作區的授權模式設為 Premium Per User、Premium Per Capacity 或 Embedded 時,您才能連線到語意模型。 一旦建立連線,符合 XMLA 規範的工具就可以對資料模型進行操作以讀取或寫入資料。 如需如何使用 XMLA 端點來管理語意模型的詳細資訊,請參閱進階資料模型管理使用案例。
透過 XMLA 端點的存取將遵守現有的權限。 工作區系統管理員、成員和參與者隱含擁有語意模型寫入權限,這表示他們可以從 Visual Studio 部署新的語意模型,並在 SQL Server Management Studio (SSMS) 中執行 Tabular Modeling Scripting Language (TMSL) 指令碼。
具有語意模型建置權限的使用者可以使用 XMLA 端點來連線並瀏覽語意模型以進行資料取用和視覺化。 會遵守 RLS 規則,而使用者看不到內部語意模型中繼資料。
允許 XMLA 端點並使用內部部署語意模型在 Excel 中分析租用戶設定涉及兩個功能:它控制哪些使用者群組可以使用 XMLA 端點來查詢和/或維護 Power BI 中的語意模型服務。 它也會判斷 [在 Excel 中進行分析] 是否可與內部部署 SQL Server Analysis Services (SSAS) 模型搭配使用。
注意
該租用戶設定的 [在 Excel 中進行分析] 層面僅適用於內部部署 SQL Server Analysis Services (SSAS) 模型。 標準 [在 Excel 中進行分析] 功能 (連線到 Power BI 服務中的 Power BI 語意模型) 由允許即時連線租用戶設定控制。
發佈至 Web
發佈至 Web 是一項功能,可以讓網際網路上的任何人存取 Power BI 報表。 此項技術不需進行驗證,也不會記錄存取以供稽核之用。 因為報表取用者不必是組織或擁有 Power BI 授權的成員,所以這項技術很適合資料新聞學,這是一種需要將資料內嵌於部落格文章、網站、電子郵件或社交媒體的程序。
警告
發佈至 Web 有可能洩露敏感性或機密性資料,無論是有意還是無意。 基於這個理由,預設會停用此功能。 發佈至 Web 應該只用於包含可供大眾檢視之資料的報表。
發佈至 Web 租用戶設定可讓 Power BI 管理員控制哪些使用者群組可以將報表發佈至 Web。 若要維持較高層級的控制,建議您不要在此租用戶設定中包含其他群組 (例如 Power BI 管理員或其他類型的內容建立者)。 相反地,請使用安全性群組 (例如 Power BI 公開發布) 來強制執行特定的使用者存取權。 請確定安全性群組已妥善管理。
在自訂應用程式中內嵌
在應用程式中內嵌內容租用戶設定可讓 Power BI 管理員控制哪些使用者可以在 Power BI 服務外部內嵌 Power BI 內容。 當您打算在自訂應用程式中內嵌 Power BI 內容時,請針對特定的群組 (例如應用程式開發人員) 啟用此設定。
在 PowerPoint 中內嵌
啟用適用於 PowerPoint 的 Power BI 增益集租用戶設定可讓 Power BI 管理員控制哪些使用者可以在 PowerPoint 簡報中內嵌 Power BI 報表頁面。 適當時,請針對特定的群組 (例如報表建立者) 啟用此設定。
注意
若要讓此功能能夠運作,使用者必須安裝適用於 PowerPoint 的 Power BI 增益集。 若要使用該增益集,使用者必須有權存取 Office 增益集 Store,或者該增益集必須以管理員管理的增益集方式提供給他們。 如需詳細資訊,請參閱適用於 PowerPoint 的 Power BI 增益集。
教育報表建立者慎選其 PowerPoint 簡報的儲存位置以及他們與誰共用。 這是因為當使用者開啟簡報時,會向使用者顯示 Power BI 報表視覺效果的影像。 該影像是從上次連接 PowerPoint 檔案時擷取的。 不過,該影像可能會無意中洩漏接收使用者無權查看的資料。
注意
當接收使用者尚未擁有該增益集時,或在該增益集連接到 Power BI 服務以擷取資料之前,該影像可能會很有用。 使用者連線後,只會從 Power BI 擷取使用者可以看到的資料 (強制執行任何 RLS)。
範本應用程式
範本應用程式可讓 Power BI 合作夥伴和軟體廠商撰寫少量程式碼或不用撰寫程式碼即可建置 Power BI 應用程式,並將其部署至任何 Power BI 客戶。
發佈範本應用程式租用戶設定可讓 Power BI 管理員控制哪些使用者可以在組織外部發佈範本應用程式,例如透過 Microsoft AppSource。 對大多數組織而言,此租用戶設定應該停用或嚴格控制。 請考慮使用安全性群組,例如 Power BI 外部範本應用程式建立者。
電子郵件訂用帳戶
您可以為自己和其他人訂閱 Power BI 報表、儀表板和編頁報表。 然後,Power BI 將按照您所設定的排程傳送電子郵件。 電子郵件會包含快照集,以及報告或儀表板的連結。
當您是工作區系統管理員、成員或參與者時,您可以建立包含其他使用者的訂閱。 如果報表位於 Premium 工作區中,您可以訂閱群組 (無論它們是否在您的網域中) 和外部使用者。 設定訂閱時,也有可以將權限授與給項目的選項。 每項的直接存取權限會用於此目的,這在報表取用者安全性規劃一文中進行了描述。
警告
電子郵件訂閱功能有可能將內容分享給內部和外部對象。 此外,在基礎語意模型上強制執行 RLS 時,會使用訂閱使用者的安全性內容來產生附件和影像。
電子郵件訂閱租用戶設定可讓 Power BI 管理員控制是否為整個組織啟用或停用此功能。
與授權和租用戶設定限制相關的附件有一些限制。 如需詳細資訊,請參閱 Power BI 服務中報表和儀表板的電子郵件訂閱。
檢查清單 - 規劃發佈內容時,關鍵決策和動作包括:
- 決定應發佈內容的位置、發佈的方式以及由誰發佈的策略:確定內容發佈位置有哪些喜好設定和需求。
- 驗證工作區存取權:確認工作區設計方法。 驗證如何使用工作區存取角色來支援您的內容應發佈的位置的策略。
- 確定如何處理部署管線權限:決定允許哪些使用者可以使用部署管線來發佈內容。 據此設定部署管線權限。 也需確定也提供工作區存取權。
- 決定誰可以使用 XMLA 端點連線到語意模型:決定允許哪些使用者可以使用 XMLA 端點查詢或管理語意模型。 設定 [允許 XMLA 端點並使用內部部署語意模型在 Excel 中分析] 租用戶設定,以因應此決策。 如果您決定限制此功能,請考慮使用 Power BI 核准的內容建立者等群組。
- 決定誰可以公開發佈報表:決定允許哪些使用者可以公開發佈 Power BI 報表 (如果有的話)。 設定發佈至 Web 租用戶設定以符合此決策。 使用群組,例如 Power BI 公開發佈。
- 決定哪些人可以在自訂應用程式中內嵌內容:確定應允許誰可以在 Power BI 服務外部內嵌內容。 設定在應用程式中內嵌內容租用戶設定以符合此決策。
- 決定誰可以在 PowerPoint 中內嵌內容:確定應允許誰可以在 PowerPoint 中內嵌內容。 設定啟用 PowerPoint 的 Power BI 增益集租用戶設定以符合此決策。
- 決定誰可以發佈範本應用程式:確定您在組織外部使用範本應用程式的策略。 設定發佈範本應用程式租用戶設定以符合此決策。
- 決定是否要啟用訂閱:確認您使用訂閱的策略。 設定電子郵件訂閱租用戶設定以符合此決策。
重新整理資料
發佈之後,資料建立者應確保其語意模型和資料流程 (包含匯入的資料) 會定期重新整理。 您也應該為語意模型和資料流程擁有者決定適當的策略。
語意模型擁有者
每個語意模型都有一個擁有者,即單一使用者帳戶。 語意模型擁有者需要設定語意模型重新整理並設定語意模型參數。
根據預設,語意模型擁有者也會收到來自想要建置權限的報表建立者的存取要求 (除非語意模型的要求存取設定設定為提供自訂指示)。 如需詳細資訊,請參閱本文中的為建立者要求存取工作流程一節。
有兩種方式 Power BI 可以用來取得認證以重新整理語意模型。
- 語意模型擁有者會將認證儲存在語意模型設定中。
- 語意模型擁有者會參考語意模型設定中的閘道 (其中包含一個具有預存認證的資料來源)。
如果其他使用者需要設定重新整理或設定語意模型參數,他們必須擁有語意模型的擁有權。 語意模型擁有權可以由工作區系統管理員、成員或參與者接管。
警告
取得語意模型擁有權會永久移除該語意模型的任何預存認證。 必須重新輸入認證才能讓資料重新整理作業繼續。
理想情況下,語意模型擁有者是負責語意模型的使用者。 當語意模型擁有者離開組織或變更角色時,您應該更新他們。 另請注意,當語意模型擁有者的使用者帳戶在 Microsoft Entra ID (先前稱為 Azure Active Directory) 中停用時,資料重新整理會自動停用。 在此情況下,其他使用者必須取得語意模型的擁有權才能讓資料重新整理作業繼續。
資料流程擁有者
與語意模型一樣,資料流程也有一個擁有者,即單一使用者帳戶。 上一個主題中提供的有關語意模型擁有者的資訊和指導也適用於資料流程擁有者。
檢查清單 - 規劃與資料重新整理流程相關的安全性時,關鍵決策和動作包括:
- 決定語意模型擁有者的策略:確定在管理語意模型擁有者時有哪些喜好設定和需求。
- 決定資料流程擁有者的策略:確定在管理資料流程擁有者時有哪些喜好設定和需求。
- 納入適用於語意模型建立者的文件和訓練:包含適用於資料建立者的指導,說明如何管理每種項目類型的擁有者。
相關內容
有關可協助您做出 Power BI 實作決策的其他考量事項、動作、決策準則和建議,請參閱要考慮的主題領域。